Hướng dẫn từng bước để thiết lập đồng bộ hóa Active Directory với Office 365
Các tổ chức sử dụng Active Directory để quản lý tập trung các máy tính và người dùng Windows. Việc cấu hình Máy chủ miền Active Directory (ADDC) trên Windows Server rất thuận tiện, và các quản trị viên có thể sử dụng máy chủ này để xác thực người dùng, cấu hình quyền truy cập và quản lý quyền truy cập vào các tài nguyên chia sẻ.
Nhiều công ty đã sử dụng Windows đã chuyển sang nền tảng đám mây của Microsoft như Microsoft 365 (trước đây là Office 365) hoặc Azure. Trong trường hợp này, quản trị viên hệ thống phải tạo tài khoản cho người dùng trong Microsoft 365. Đôi khi các tổ chức thích sử dụng cùng một thông tin đăng nhập cho tài khoản người dùng cục bộ và tài khoản người dùng trên đám mây. Quản trị viên có thể đồng bộ hóa người dùng của miền cục bộ tại chỗ với Office 365 và Azure Active Directory (Azure AD) để sử dụng cùng một tài khoản người dùng cho cả xác thực cục bộ và trên đám mây. Điều này được gọi là triển khai kết hợp (hybrid deployment) và rất phổ biến trong các tổ chức sử dụng các sản phẩm phần mềm của Microsoft.
Bài viết trên blog này đề cập đến việc đồng bộ hóa Office 365 AD và giải thích cách bạn có thể thực hiện đồng bộ hóa Office 365 Active Directory để đồng bộ hóa các tài khoản người dùng tại chỗ và trên đám mây cho các sản phẩm của Microsoft.
Office 365 và Azure AD
Office 365 là một tenant trong Azure Active Directory và sử dụng cổng thông tin để lưu trữ dữ liệu dùng cho xác thực cũng như cấu hình quyền truy cập vào môi trường đám mây của Microsoft. Quản trị viên của tenant Office 365 có thể truy cập cổng thông tin Azure để quản lý quyền truy cập và cấu hình các thiết lập khác. Nếu bạn có một máy chủ ADDC (Active Directory Domain Controller) đang hoạt động tại chỗ, bạn có thể đồng bộ hóa Office 365 với AD (đồng bộ hóa Active Directory tại chỗ và Azure Active Directory với Office 365) và do đó đạt được tích hợp Active Directory với Office 365.
Cách tiếp cận này cung cấp cho bạn một hệ thống danh tính lai và cho phép người dùng sử dụng cùng một thông tin đăng nhập để truy cập các dịch vụ Office 365 và tài nguyên cục bộ tại văn phòng/trung tâm dữ liệu của bạn. Dữ liệu Active Directory như người dùng, nhóm và liên hệ sẽ được đồng bộ hóa trong trường hợp này. Đồng bộ hóa danh bạ là bước quan trọng khi chuyển sang đám mây nếu bạn muốn có một môi trường lai.
Azure AD Connect là gì?
Azure AD Connect là một công cụ nhẹ được cài đặt trên máy chủ cục bộ, hoạt động như một ADDC. Azure AD Connect đồng bộ hóa dữ liệu danh tính Active Directory cục bộ của bạn với Azure Active Directory được Office 365 sử dụng trên đám mây. Công cụ này có thể được cài đặt trên máy chủ điều khiển miền hoặc trên máy chủ Windows là thành viên của miền. Azure AD Connect đã thay thế Công cụ Đồng bộ hóa Danh bạ (DirSync), vốn đã bị loại bỏ.
Azure AD Connect hỗ trợ các tính năng sau:
- Đồng bộ hóa băm mật khẩu
- Xác thực qua trung gian
- Xác thực liên kết. Máy tính khách có thể yêu cầu xác thực từ nhà cung cấp danh tính khác.
Theo mặc định, quá trình đồng bộ hóa danh bạ được thực hiện từ Active Directory tại chỗ sang Azure Active Directory được Office 365 sử dụng. Tuy nhiên, bạn có thể cấu hình đồng bộ hóa Active Directory theo hướng ngược lại và đồng bộ hóa các thay đổi từ Azure Active Directory sang Active Directory tại chỗ của bạn. Theo mặc định, đồng bộ hóa được lên lịch chạy mỗi 30 phút. Bạn có thể chỉnh sửa cấu hình lịch trình và buộc đồng bộ hóa thư mục Office 365 trong PowerShell. Bạn có thể cấu hình đồng bộ hóa delta để chỉ đồng bộ hóa dữ liệu đã thay đổi kể từ lần đồng bộ hóa AD Office 365 trước đó. Khuyến nghị là nên thực hiện đồng bộ hóa delta trong vòng 7 ngày kể từ lần đồng bộ hóa cuối cùng.
Yêu cầu
Để cài đặt và chạy Azure AD Connect, hãy đảm bảo các điều sau:
- Một máy chủ điều khiển miền Active Directory chạy hệ điều hành Windows Server phải được cài đặt và cấu hình tại cơ sở.
- Mức chức năng Active Directory tại cơ sở phải là Windows Server 2003 trở lên.
- Bạn phải có quyền quản trị viên miền hoặc quyền quản trị viên cục bộ trên một máy tính là thành viên của miền.
Hệ điều hành được hỗ trợ: Windows Server 2012, Windows Server 2016, Windows Server 2019 có giao diện đồ họa (GUI). Windows Server Core không được hỗ trợ. Phiên bản Windows Server phải là Standard hoặc cao hơn. Các phiên bản Essentials không được hỗ trợ.
.NET Framework 4.5.1 hoặc mới hơn phải được cài đặt trên máy chủ Windows Server chạy Azure AD Connect.
PowerShell 3.0 hoặc mới hơn. Chính sách thực thi skript phải cho phép bạn chạy skript. Chính sách được khuyến nghị là RemoteSigned.
Bạn phải có một miền bên ngoài được liên kết với tenant Office 365 của bạn.
Bạn cần có quyền truy cập vào một tenant Azure (cho tenant Office 365 hoặc tài khoản quản trị viên của bạn). Quyền quản trị viên toàn cầu là bắt buộc.
Phải tạo một thư mục trong Azure AD. Một máy chủ miền trong Azure AD phải được cấu hình là có thể ghi.
Yêu cầu mạng:
- Kết nối HTTPS ra ngoài đến máy chủ Microsoft
- TCP 80. Giao thức HTTP được sử dụng để tải xuống Danh sách thu hồi chứng chỉ (CRL) để xác minh chứng chỉ TLS/SSL
- TCP 443. HTTPS được sử dụng để đồng bộ hóa dữ liệu với Azure Active Directory
- TLS 1.2 phải được bật trên máy tính Windows.
Chuẩn bị môi trường
Kiểm tra các hậu tố UPN (hoặc Tên người dùng chính) cho miền cục bộ được sử dụng bởi Active Directory tại chỗ. Miền cục bộ phải có thể định tuyến được, và hậu tố miền cục bộ không được là .local, .test, v.v. Các miền có loại hậu tố này được phân loại là không thể định tuyến, và các miền này chỉ có thể được đồng bộ hóa với một miền .onmicrosoft.com . Ví dụ: nếu bạn có tên miền .nakivo.test trong Active Directory tại chỗ và nakivo.onmicrosoft.com trong Azure Active Directory, thì user1@nakivo.test nên được đồng bộ hóa với user1@nakivo.onmicrosoft.com. Nếu bạn có tên miền domain.net trong Active Directory cục bộ của mình, và tên miền bên ngoài được sử dụng trong Office 365 và Azure cũng là domain.net, thì user1@domain.net từ Active Directory tại chỗ có thể được đồng bộ hóa với user1@domain.net trong Azure AD được Office 365 sử dụng để xác thực và cấu hình quyền truy cập. Do đó, tên miền phải hợp lệ và phải có các phần mở rộng chính xác như .com, .net, .uk, .us, .edu, v.v. để đảm bảo đồng bộ hóa hoàn toàn và khớp tên. UPN của người dùng cục bộ trong Active Directory của bạn có thể được đồng bộ hóa với Azure AD và Office 365.
Note: Các tên miền được sử dụng trong bài viết này chỉ mang tính chất minh họa. Vui lòng sử dụng các tên miền chính xác theo cấu hình môi trường của bạn.
Bạn có thể kiểm tra các tên miền cho Office 365 tại Trung tâm quản trị Microsoft 365. Truy cập Settings > Domains để xem các tên miền có sẵn có thể liên kết với tenant Office 365 của bạn.
Đảm bảo tên miền có thể định tuyến
Bạn có thể chỉnh sửa cài đặt của tên miền tại chỗ để đảm bảo tên miền có thể định tuyến, từ đó cải thiện khả năng đồng bộ hóa bằng cách thêm các hậu tố UPN cần thiết. Thêm hậu tố UPN vào tên miền tại chỗ hiện có của bạn để khớp với tên người dùng tại chỗ và trong Microsoft 365 (Azure). Đầu tiên, đăng ký một hậu tố mới, sau đó cập nhật người dùng Active Directory tại chỗ để sử dụng hậu tố đã cập nhật.
Thêm hậu tố UPN mới
Truy cập Active Directory Domains and Trusts trên máy chủ điều khiển tên miền tại chỗ của bạn. Để thực hiện việc này, hãy mở Server Manager, nhấp vào Tools, và trong menu hiện ra, nhấp vào Active Directory Domains and Trusts. Ngoài ra, bạn có thể chạy domain.msc trong menu Run (nhấn Win+R để mở menu Run) hoặc trong cửa sổ lệnh (CMD).
Cửa sổ Active Directory Domains and Trusts sẽ mở ra. Nhấp chuột phải vào Active Directory Domains and Trusts và trong menu ngữ cảnh, nhấp vào Properties.
Nhập tên miền chuẩn hóa chính xác kèm theo hậu tố đúng, ví dụ: id.com , hoặc nakivo.com . Nhấp vào Add, sau đó nhấp vào OK để lưu cài đặt và đóng cửa sổ này.
Chỉnh sửa hậu tố UPN cho người dùng hiện có
Bây giờ bạn nên chỉnh sửa hậu tố UPN cho người dùng hiện có trên máy chủ Active Directory tại chỗ.
Truy cập Active Directory Users and Computers bằng cách mở Server Manager và vào menu Tools (giống như bạn đã làm trước đó). Ngoài ra, bạn có thể nhấn Win+R để mở menu Run, nhập dsa.msc vào hộp thoại Run, rồi nhấp vào Enter.
Trong cửa sổ Active Directory Users and Computers , mở rộng miền của bạn và nhấp vào thư mục Users . Chọn một người dùng miền, nhấp chuột phải vào người dùng miền đó, rồi chọn Properties trong menu ngữ cảnh.
Chọn tab Account trong cửa sổ thuộc tính người dùng. Trong menu thả xuống, chọn tên miền chính xác với hậu tố chính xác. Nhấp vào OK để lưu cài đặt và đóng cửa sổ.
Lặp lại thao tác này cho tất cả người dùng là thành viên của miền tại chỗ (những người dùng mà bạn muốn thực hiện đồng bộ hóa AD với Office 365). Nếu Active Directory tại chỗ của bạn có số lượng người dùng lớn, hãy sử dụng PowerShell để chỉnh sửa hàng loạt thay vì chỉnh sửa thuộc tính của từng người dùng theo cách thủ công. Sử dụng các lệnh sau cho mục đích này:
$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*domain.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@domain.local","@domain.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}
Thay thế các tên miền chính xác của bạn cho các tên miền sau: domain.local và domain.com dựa trên cấu hình trong môi trường của bạn.
Bạn có thể thay đổi UPN và địa chỉ email trong PowerShell bằng mô-đun PowerShell MSOnline (mô-đun Azure AD PowerShell).
Set-MsolUserPrincipalName -UserPrincipalName user@olddomain.com -NewUserPrincipalName user@newdomain.com
Sau khi cập nhật các UPN, bạn đã sẵn sàng đồng bộ hóa Active Directory Domain Services tại chỗ với Microsoft 365 và Azure Active Directory.
Chỉnh sửa thuộc tính proxy email
Chỉnh sửa thuộc tính email cho từng người dùng và đặt địa chỉ email proxy SMTP.
Để hiển thị tab Attribute Editor nơi bạn có thể đặt proxy SMTP (trong cửa sổ thuộc tính người dùng), trong cửa sổ Active Directory Users and Computers , nhấp vào View > Advanced Features.
Bây giờ chọn một người dùng, mở thuộc tính người dùng, nhấp vào tab Attribute Editor , sau đó nhấp đúp vào thuộc tính proxyAddresses .
Địa chỉ email Office 365 phải được định nghĩa là địa chỉ proxy SMTP cho người dùng Active Directory trên máy chủ miền tại chỗ, ví dụ:
SMTP:user2@nakivo.com
Địa chỉ email chính phải chứa SMTP viết hoa. Các địa chỉ proxy email khác có thể bắt đầu bằng smtp viết thường.
Nhấp vào Add để thêm giá trị, sau đó nhấp vào OK để lưu cài đặt.
Lặp lại thao tác này cho từng người dùng cần thiết để đồng bộ hóa Office 365.
Kiểm tra tên người dùng trong Trung tâm quản trị Office 365
Mở Trung tâm quản trị Microsoft 365, truy cập Users > Active người dùng và kiểm tra tên người dùng cùng hậu tố miền được sử dụng trong tên của họ. Nếu bạn có miền tùy chỉnh như nakivo.com , hãy chọn sử dụng các tên người dùng chính (UPN) này thay vì các tên có miền nakivo.onmicrosoft.com .
Nhấp vào ba chấm gần người dùng tương ứng, và trong menu mở ra, nhấp vào Manage username and email để chọn miền cần thiết cho tên người dùng. Tình huống lý tưởng là khi tên miền và tên người dùng trong Office 365 trùng khớp với tên người dùng trong Active Directory tại chỗ.
Mở Groups trong Trung tâm quản trị Microsoft 365 và chỉnh sửa địa chỉ email của các nhóm giống như cách bạn đã chỉnh sửa địa chỉ email của người dùng.
Cài đặt Azure AD Connect
Tải xuống Azure AD Connect từ trang web của Microsoft qua liên kết:
https://www.microsoft.com/en-us/download/details.aspx?id=47594
Bạn có thể kiểm tra trạng thái của Azure AD Connect và lấy liên kết tải xuống từ trang Azure AD Connect trên Cổng thông tin Microsoft Azure. Để thực hiện việc này, hãy truy cập Azure Active Directory > Azure AD Connect trên Cổng thông tin Azure.
Lưu tệp cài đặt Azure AD Connect trên máy chủ mà bạn định cài đặt công cụ này, ví dụ như trên một máy chủ điều khiển miền.
Chạy tệp cài đặt Azure AD Connect ( AzureADConnect.msi ). Trình hướng dẫn Azure AD Connect sẽ mở ra.
Welcome. Tại bước Chào mừng, chọn “I agree to the license terms and privacy notice” và nhấp vào Continue.
Express Settings. Chọn một trong hai tùy chọn có sẵn – Customize hoặc Use express settings. Tùy chọn Customize cho phép bạn kiểm soát nhiều hơn khi cấu hình đồng bộ hóa Active Directory với Office 365.
Required Components. Chọn các thành phần cần cài đặt và định nghĩa các thiết lập cấu hình cho các tùy chọn đã chọn.
- Chỉ định vị trí cài đặt tùy chỉnh
- Sử dụng máy chủ SQL hiện có
- Sử dụng tài khoản dịch vụ hiện có
- Chỉ định nhóm đồng bộ hóa tùy chỉnh
- Nhập cài đặt đồng bộ hóa
Nhấp vào Install để tiếp tục.
User Sign-In. Chọn một trong các phương thức đăng nhập có sẵn. Một số tùy chọn yêu cầu các bước cấu hình bổ sung.
- Đồng bộ hóa băm mật khẩu. Băm mật khẩu của người dùng từ Active Directory tại chỗ được đồng bộ hóa với Azure Active Directory.
- Xác thực chuyển tiếp. Người dùng có thể sử dụng cùng một mật khẩu trong Active Directory tại chỗ và trên đám mây (Office 365, Azure) nhưng không yêu cầu cơ sở hạ tầng bổ sung hoặc môi trường liên kết.
- Liên kết với AD FS. Môi trường kết hợp nên được cấu hình bằng cách sử dụng Active Directory và Dịch vụ Liên kết Active Directory (AD FS) được triển khai tại chỗ. Việc gia hạn chứng chỉ và triển khai thêm máy chủ AD FS được hỗ trợ.
- Liên kết với PingFederate. Tùy chọn này có thể được sử dụng nếu máy chủ PingFederate doanh nghiệp được triển khai trong hạ tầng của bạn để cung cấp đăng nhập một lần cho xác thực người dùng.
- Không cấu hình. Bạn có thể sử dụng giải pháp không được quản lý bởi trình hướng dẫn này cho đăng nhập liên kết. Người dùng đã đăng nhập vào mạng doanh nghiệp có thể truy cập tài nguyên đám mây sau khi đồng bộ hóa Office 365 với AD mà không cần nhập mật khẩu lại.
Đọc bài đăng trên blog về Dịch vụ Liên kết Active Directory.
Chọn Password Hash Synchronization hoặc Do not configure làm tùy chọn được khuyến nghị nếu bạn không chắc chắn về việc nên làm gì. 
Connect to Azure AD. Nhập tên người dùng và mật khẩu của tài khoản Microsoft 365 có quyền quản trị viên toàn cầu trong Microsoft Azure/Office 365 (thông tin đăng nhập quản trị viên Office 365). Tài khoản quản trị viên này là cần thiết để cấu hình Azure AD Connect, giúp ứng dụng có thể thực hiện đồng bộ hóa Active Directory của Office 365. Nhấp vào Next tại mỗi bước để tiếp tục.
Connect Directories. Nhập thông tin về Active Directory hiện tại đang được sử dụng trong môi trường miền tại chỗ. Chọn loại thư mục (Active Directory), chỉ định rừng miền, nhấp vào Add Directory, và nhập thông tin đăng nhập quản trị viên miền. Nếu bạn cần đồng bộ hóa một rừng miền, hãy sử dụng thông tin đăng nhập quản trị viên doanh nghiệp.
Azure AD sign-in. Kiểm tra các miền và hậu tố UPN của Active Directory. Chọn thuộc tính tại chỗ để sử dụng làm tên người dùng trong Azure AD và Office 365. Chúng tôi chọn userPrincipalName. Chọn hộp kiểm Continue without any verified domains nếu miền của bạn chưa được xác minh. Bạn có thể hoàn tất quy trình xác minh sau để cho phép người dùng đăng nhập vào Azure AD và Office 365.
Domain and OU filtering. Giữ nguyên cài đặt mặc định trên màn hình này để đồng bộ hóa toàn bộ dữ liệu Active Directory. Chọn các tên miền và đơn vị tổ chức tùy chỉnh nếu bạn cần tùy chỉnh cài đặt. Bạn có thể bỏ chọn các miền hoặc đơn vị tổ chức mà bạn không muốn đồng bộ hóa.
Identifying users. Bạn nên giữ nguyên cài đặt mặc định ở bước này để thiết lập cơ bản đồng bộ hóa Active Directory với Office 365 (cho một Azure AD, một miền và một rừng AD). Nếu cần thiết lập phức tạp hơn, hãy chọn các tùy chọn tùy chỉnh cho danh tính người dùng giữa các thư mục. Trong các tùy chọn xác định danh tính người dùng tại SOURCE ANCHOR , hãy chọn tùy chọn mặc định objectGUID để tạo ID và ánh xạ người dùng.
Filtering. Chọn đồng bộ hóa tất cả người dùng và thiết bị hoặc chọn các đối tượng tùy chỉnh để đồng bộ hóa. Bạn có thể sử dụng bộ lọc dựa trên nhóm.
Optional Features. Chọn các tính năng bổ sung nếu cần. Di chuột qua biểu tượng ‘?’ bên cạnh tên của từng tính năng để xem gợi ý giúp bạn đưa ra quyết định đúng đắn.
Ready to configure. Chọn hộp kiểm Bắt đầu quá trình đồng bộ hóa khi cấu hình hoàn tất nếu bạn muốn bắt đầu đồng bộ hóa ngay sau khi hoàn tất trình hướng dẫn này. Bạn có thể bỏ chọn hộp kiểm này và bắt đầu đồng bộ hóa thủ công khi cần. Nhấn Install để hoàn tất cấu hình.
Chờ cho đến khi cài đặt và cấu hình hoàn tất. Khi bạn thấy thông báo Cấu hình hoàn tất , bạn có thể nhấp vào Exit để đóng ứng dụng. Thông tin tóm tắt về quá trình đồng bộ hóa Active Directory với Office 365 đã hoàn tất sẽ được hiển thị trên màn hình Configuration Complete . Sau đó, hãy mở Trung tâm quản trị Microsoft 365 và kiểm tra xem quá trình đồng bộ hóa Active Directory với Office 365 đã hoàn tất thành công hay chưa. Mở phần Lỗi đồng bộ hóa trên trang Azure AD Connect Health trong Cổng thông tin Azure để xem thông tin chi tiết về các lỗi. Nếu có lỗi, hãy đọc các khuyến nghị được cung cấp để khắc phục lỗi.
Nếu quá trình đồng bộ hóa Office 365 AD hoàn tất thành công, bạn có thể cấp phép cho người dùng Office 365 mới được thêm vào sau khi đồng bộ hóa Office 365 với Active Directory tại chỗ.
Xuất cấu hình Azure AD Connect
Bạn có thể triển khai Azure AD Connect bằng chế độ Express hoặc chế độ Tùy chỉnh. Khi triển khai nhiều lần sử dụng cùng một cấu hình Azure AD Connect để đồng bộ hóa Active Directory tại chỗ với Office 365/Azure, cũng như đồng bộ hóa nhiều rừng AD, hãy xem xét việc xuất/nhập cấu hình Azure AD Connect.
Sau khi cấu hình Azure AD Connect trong giao diện người dùng (GUI) bằng trình hướng dẫn, cấu hình sẽ được lưu vào tệp JSON được lưu trữ trong thư mục %ProgramData%AADConnect . Tên tệp JSON có dạng Applied-SynchronizationPolicy-*.JSON trong đó * là dấu thời gian giúp xác định thời điểm cấu hình được lưu. Các thay đổi thực hiện trong giao diện người dùng (GUI) sẽ được xuất tự động. Tuy nhiên, các thay đổi thực hiện bằng PowerShell cần được xuất thủ công khi cần thiết.
Để nhập cài đặt, hãy chạy Azure AD Connect, chọn tùy chọn Customize , trên màn hình Install required components , chọn Import synchronization settings, nhấp vào Browse, và chọn tệp cấu hình JSON.
Việc nhập cấu hình cho phép người dùng thực hiện tối thiểu việc nhập dữ liệu thủ công để cấu hình Azure AD Connect trong thời gian ngắn và tái tạo cấu hình giống hệt nhau trên nhiều máy chủ.
Công cụ di chuyển cấu hình
Có các công cụ để xuất và nhập cấu hình của Azure AD Connect từ máy chủ này sang máy chủ khác để có cấu hình giống hệt nhau khi bạn thực hiện đồng bộ hóa Office 365 Active Directory.
Sao chép tệp MigrateSettings.ps1 từ thư mục C:Program FilesMicrosoft Azure Active Directory ConnectTools hoặc thư mục tùy chỉnh nơi Azure AD Connect được cài đặt trên máy chủ đầu tiên sang một vị trí tùy chỉnh, ví dụ: C:Programs .
Chạy tập lệnh MigrateSettings.ps1 trên máy chủ đầu tiên (hiện có). Nếu bạn thấy thông báo cho biết không tìm thấy tham số chấp nhận giá trị “True”, hãy chỉnh sửa tập lệnh và xóa $true khỏi tập lệnh.
Chạy tập lệnh và kiểm tra thư mục trong kết quả đầu ra. Cấu hình đồng bộ hóa Azure AD được xuất sang thư mục này. Sao chép thư mục Exported-ServerConfiguration-* này cùng với nội dung của nó sang máy chủ thứ hai (máy chủ mới).
Chạy Azure AD Connect trên máy chủ thứ hai và trên trang Chọn các thành phần cần thiết trên màn hình Chọn để nhập cài đặt đồng bộ hóa và chọn tệp cấu hình MigratedPolicy.json (như đã giải thích ở trên) nằm trong thư mục đã sao chép Exported-ServerConfiguration-*
Các tùy chọn đồng bộ hóa AD Office 365 khác
Nếu bạn không thể chờ 30 phút, khoảng thời gian tiêu chuẩn giữa các lần đồng bộ hóa, hãy buộc đồng bộ hóa AD Office 365 bằng các lệnh PowerShell. Mô-đun PowerShell của Azure Active Directory thường được cài đặt cùng với công cụ Azure AD Connect.
Nhập mô-đun PowerShell ADSync:
Import-Module ADSync
Kiểm tra cài đặt đồng bộ hóa AD Office 365 hiện tại của bạn:
Get-ADSyncScheduler
Buộc thực hiện đồng bộ hóa delta để chỉ đồng bộ hóa các thay đổi được thực hiện kể từ lần đồng bộ hóa thành công trước đó:
Start-ADSyncSyncCycle -PolicyType Delta
Buộc thực hiện đồng bộ hóa toàn bộ để đồng bộ hóa tất cả dữ liệu:
Start-ADSyncSyncCycle -PolicyType Initial
Thay đổi khoảng thời gian đồng bộ hóa AD Office 365 thành 10 phút:
Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00
Lưu ý rằng việc đồng bộ hóa AD Office 365 thủ công không đồng bộ hóa mật khẩu người dùng. Trong trường hợp này, hãy thử khởi động lại dịch vụ đồng bộ hóa AD Office 365 trên máy chủ cục bộ đang chạy Azure AD Connect và sau đó xác minh rằng thông tin đăng nhập là chính xác.
Khuyến nghị về cấu hình
Bảo vệ máy chủ có cài đặt Azure AD Connect. Hạn chế quyền truy cập của người dùng không phải là quản trị viên vào máy chủ đang chạy Azure AD Connect. Sử dụng mật khẩu mã hóa để bảo vệ các tài khoản dịch vụ được sử dụng bởi công cụ đồng bộ hóa Active Directory này. Nhận thức được sức mạnh của công cụ này, mật khẩu mã hóa là yếu tố quan trọng trong trường hợp ai đó truy cập vào máy chủ đang chạy AD sync. Bạn có thể thêm người dùng đáng tin cậy vào nhóm ADSyncAdmins để quản lý quyền truy cập thuận tiện.
Kiểm tra các nhóm mà bạn định đồng bộ hóa từ Active Directory tại chỗ sang Azure AD và Office 365. Không phải tất cả các nhóm đều cần được đồng bộ hóa. Có thể có các nhóm không cần thiết trên đám mây hoặc không có lý do để đồng bộ hóa do các vấn đề về bảo mật hoặc năng suất. Lọc các nhóm bảo mật và nhóm phân phối không liên quan đến môi trường đám mây Microsoft 365 và Azure. Loại trừ tất cả các nhóm quản trị viên khỏi quá trình đồng bộ hóa Active Directory của Office 365. Đừng coi việc đồng bộ hóa Active Directory của Office 365 với Azure AD là một giải pháp sao lưu. Một số thuộc tính của các đối tượng trên đám mây là duy nhất, ví dụ như thông tin cấp phép của người dùng Office 365. Nếu thông tin cụ thể này bị xóa trên đám mây, bạn sẽ không thể khôi phục thông tin này bằng cách chạy đồng bộ hóa Active Directory của Office 365 từ Active Directory tại chỗ. Việc đồng bộ hóa Active Directory tại chỗ với Azure không giống như sao lưu Active Directory và máy chủ miền. Hãy sử dụng các công cụ chuyên dụng và giải pháp sao lưu để bảo vệ các máy chủ miền Active Directory đang chạy tại chỗ và dữ liệu Office 365 trên đám mây.
Sao lưu Office 365 và Sao lưu Active Directory
Bạn nên thực hiện sao lưu Office 365 thường xuyên và lưu trữ các bản sao lưu này ở nơi an toàn. Sao lưu Office 365 nên bao gồm dữ liệu cần thiết từ các ứng dụng Office như email Exchange Online, OneDrive và SharePoint. Dữ liệu Office 365 được lưu trữ trên đám mây, nhưng nếu một phần dữ liệu này bị hỏng do ransomware hoặc bị xóa nhầm, việc có bản sao lưu có thể là cách duy nhất để khôi phục dữ liệu đó, đặc biệt nếu bạn phát hiện mất dữ liệu khi đã quá muộn.
Active Directory là hệ thống quản lý tập trung trong mạng Windows. Việc không thể truy cập vào máy chủ miền Active Directory có thể khiến hoạt động của công ty bị đình trệ. Hãy sao lưu các máy chủ miền Active Directory đang chạy tại chỗ để có thể khôi phục dữ liệu nếu xảy ra thảm họa. Nên sử dụng các giải pháp sao lưu của bên thứ ba chuyên dụng hỗ trợ sao lưu nhận biết ứng dụng khi sao lưu các máy chủ đang chạy với các ứng dụng đang hoạt động.
NAKIVO Backup & Replication là giải pháp bảo vệ dữ liệu dành cho doanh nghiệp vừa và nhỏ (SMB) và doanh nghiệp lớn, hỗ trợ Sao lưu đám mây Office 365, bao gồm các ứng dụng như Exchange Online, SharePoint Online, Microsoft Teams và OneDrive for Business. Bạn có thể sao lưu nhiều tenant Office 365, chọn tất cả người dùng hoặc người dùng tùy chỉnh, và khôi phục các mục cần thiết ở mức độ chi tiết.
NAKIVO Backup & Replication hỗ trợ sao lưu máy chủ vật lý, bao gồm các máy chủ Windows đóng vai trò là bộ điều khiển miền Active Directory và có thể thực hiện sao lưu theo chu kỳ ( Sao lưu Active Directory). Hỗ trợ sao lưu theo chu kỳ ( Sao lưu dựa trên ứng dụng ) cho phép bạn sao lưu các bộ điều khiển miền và có dữ liệu nhất quán với ứng dụng trong bản sao lưu. Khôi phục chi tiết cũng được hỗ trợ cho sao lưu máy chủ vật lý.
Kết luận
Các tổ chức chuyển đổi sang đám mây thường chỉ thực hiện một phần. Họ tiếp tục sử dụng các dịch vụ Active Directory tại chỗ kết hợp với các dịch vụ đám mây. Điều này được gọi là môi trường kết hợp. Tính năng đồng bộ hóa Office 365 với Active Directory (AD) cho phép các tổ chức thiết lập môi trường kết hợp (hybrid) và đồng bộ hóa tài khoản người dùng cùng các tùy chọn xác thực giữa Active Directory tại chỗ (on-premises AD) và Azure AD.
Việc đồng bộ hóa Active Directory với Office 365 có thể được thực hiện thông qua Azure AD Connect, một công cụ tích hợp do Microsoft phát triển. Bạn phải chuẩn bị Active Directory tại chỗ, định cấu hình cài đặt miền cho miền tại chỗ và miền bên ngoài được liên kết với người thuê Office 365 của bạn, đồng thời định cấu hình các tùy chọn đồng bộ hóa thư mục Office 365 trong AD Connect. Tích hợp Office 365 Active Directory cho phép người dùng sử dụng cùng một thông tin đăng nhập cho môi trường Windows tại chỗ và trong Office 365.
